Анонс подкаста. Выпуск 22

21-го декабря в 15:00 по Мск здесь будет 22-й выпуск подкаста linkmeup.

В гостях инженеры из российской компании НТЦ Метротек — Иван Шевчук и Павел Курочкин.

Они расскажут о том, каково это — быть единственными разработчиком 10G/100G платформ в России. Компания производит измерительные приборы для сетей Ethernet и телекоммуникационное оборудование от идеи до конечного продукта.

Темы выпуска:
  • Компания Метротек.
  • Как работает измерительное оборудование Ethernet.
  • Что такое чипы FPGA, чем отличается от ASIC.
  • Как обработать 100 Гб/с трафика на скорости интерфейса.
  • С какими сложностями приходится сталкиваться при разработке таких технологий.

Читать дальше →

Типы VPN соединений. Масштабирование VPN

Коллеги, здравствуйте, меня зовут Семенов Вадим и совместно с проектом network-class.net хочу представить статью, посвященную вопросу масштабируемости VPN-ов, причем тех VPN-ов, которые доступны для настройки в обычной корпоративной сети предприятия, а не со стороны провайдера. Надеюсь, что данная статья станет справочным материалом, который может потребоваться при дизайне сети, либо при её апгрейде, либо для того, чтобы освежить в памяти принцип работы того или иного VPN-на. 


В начале статьи описаны основные моменты стека протоколов IPSec, так как использование данного стандарта далее будет весьма часто встречаться. В конце параграфа об IPSec были включены самые частые причины неработоспособности IPSec канала, а также основные шаги по их устранению.



Типы VPN соединений


Ниже систематизированы VPN-ы, которые доступны для настройки в корпоративной сети. Технологии VPN распределены по уровню предоставляемых клиенту каналов по модели OSI (рис 1):


 



 


Схема VPN-ов относительно возможности пропуска мультикаста и работы протоколов маршрутизации (рис. 2):


 



Дополнительно приводится структурированная схема VPN-ов (рис.3), которые могут предоставляться провайдером, но в данной статье подробно они не рассматриваются:


 



 


Итогом работы по систематизации VPN-ов и исследованию их масштабируемости послужила итоговая таблица, в которую заносилась общая информация по типу протокола VPN-а, его особенности, и самое важное, что необходимо сделать, если к существующим VPN-ам подключить еще один.


В таблице представлены результаты настроек, исследование полученного формата пакета, настройка протокола маршрутизации (OSPF) через VPN-ы, а также рассмотрены вопросы масштабируемости протокола.



Таблица VPN


Тип VPN

Настройка HUB

Настройка Spoke

Настройка HUB при добавлении нового Spoke

Настройка Spoke при добавлении другого нового Spoke

Использование протоколов динамической маршрутизации OSPF, EIGRP

Особенности

Regular IPSec
(crypto map)

isakmp

Crypto-map

isakmp

Crypto-map

Да:

isakmp,

crypto-map:

set peer,

transform-set,

crypto ACL

Да:

Для обеспечения связности между Spoke-ми необходимо добавить маршруты нового Spoke-a в crypto ACL всех существующих Spoke-ах

Нет

Удобен в случае кол-ва Spoke <5-10. Для обеспечения связности между Spokе-ми через HUB требуется добавление в crypto ACL Nсетей на N spoke-ах

Крайне немасштабируемый.

Regular IPSec (Profile)

isakmp profile,

IPSec Profile,

сrypto-map

isakmp profile,

IPSec Profile,

сrypto-map

Да:

crypto-map:

set peer,

crypto ACL

Да:

Добавление новых маршрутов в crypto ACL

Нет

Крайне не  масштабируемый.

Меньше конфигурации засчет объединения типовых настроек в profile.

Regular IPSec (Profile, Static VTI)

isakmp profile,

IPSec Profile,

VTI (Virtual Tunnel Interface)

isakmp,

IPSec Profile,

VTI (Virtual Tunnel Interface)

Да:

isakmp,

новый VTI (Virtual Tunnel Interface)

Да

static route до сетей уд. офиса

Да

В конфигурации SVTI без IGP – крайне не масштабируемый.

На каждый Spoke по SVTI.

N spokeN VTI и своя подсеть.

На Spoke требуется добавление маршрутов до удаленных Spoke-в. Пропускает multicast!

По умолчанию на каждый SVTI только одна SA IPSec c traffic selector “IP any any.” Нет команды crypto ACL. В туннель заворачиваются те сети, которые определены через static route на SVTI.

Regular IPSec (Profile, Static VTI and IGP)

isakmp,

IPSec Profile,

VTI (Virtual Tunnel Interface)

isakmp,

IPSec Profile,

VTI (Virtual Tunnel Interface)

Да:

isakmp,

новый VTI (Virtual Tunnel Interface)

Нет

Да

Не масштабируемый.

На каждый Spoke по SVTI.

N spoke – N VTI и своя подсеть. Маршруты от IGP попадают в туннель.

IPSec with dynamic IP (Dynamic VTI and Static VTI and IGP)

keyring,

isakmp policy,

isakmp profile,

ipsec profile,

loopback for unnumbered interface (обязательно),

Virtual-Template type tunnel

keyring,

isakmp policy,

isakmp profile,

ipsec profile,

loopback for unnumbered interface,

Static VTI

Нет

Нет

Да

Очень масштабируемый. Все spoke и hub находятся в одной сети! Dynamic VTI (DVTIs) также point-to-point интерфейс. В режиме point-to-multipoint соседство OSPF не устанавливается.

Использование Unnumbered IP в качестве адреса DVTI обязательно

Easy VPN

ААА – для авторизации клиентов

Isakmp,

isakmp policy,

isakmp profile,

ipsec profile,

interface,

Virtual-Template type tunnel

DHCP для клиентов

Minimum

IPsec client конфигурация, с указанием VPN-сервера, VPN группы, пользователя для ааа,

Указание внутренних и внешний интерфейсов.

Нет

Нет

Да

Масштабируемый.

Если ранее был настроен NAT/PAT, то перед внедрением EASY VPN должна быть эта конфигурация удалена. Есть особенности в настройке transform-set.

 

GRE

Interface Tunnel,

Static route

Interface Tunnel,

Static route

Да

Int tunnel,

Static route

Да

Static route

Да

Не масштабируемый. Образует P2P линк, на каждый туннель – своя подсеть. Прекрасно подходит для туннелирования IGP протоколов.

IGP over GRE

Interface Tunnel,

Static route

Interface Tunnel,

Static route

Да

Int tunnel

Нет

Да

Не масштабируемый.

На каждый туннель – своя подсеть. IGP протоколы работают через туннель при настройках по умолчанию.

DMVPN (проприетарный)

DMVPN phase 1 – кон-ция только mGRE

DMVPN phase 2 – настройка ipsec profile для защиты трафика

Minimum:

DMVPN phase 1 – кон-ция только mGRE

DMVPN phase 2 – настройка ipsec profile для защиты трафика

Нет

Нет:

при добавлении нового spoke – туннель до него строится автоматически

Да:

EIGRP на HUB выключаем расщепление горизонта  и сохранения себя в качестве next-hop в анонсах маршрута

Наиболее масштабируемый протокол. GRE multipoint. Туннели между удаленными офисами создаются динамически.

PPTP

Vpdn-group,

interface Virtual-Template,

IP local pool,

username/password для авториз-и, static route до сетей уд.офиса

service internal (для включения настроек pptp клиента),

vpdn-group, interface Dialer, dialer-list,

static route до сетей центр., удал. офиса

Да

Static route для внутренних сетей за PPTP клиентом

Да

Static route для новых внутренних сетей за новым PPTP клиентом

Да

Масштабируемый с ограничениями.

Морально устаревший протокол, уязвимости в криптографии в протоколе авторизации MSCHAPv2. Чаще всего используется для создания удаленного доступа. Поддерживается множеством популярных версий ОС Windows. Исп только один протокол для шифрования -MPPE (RC4 со 128-битным ключом). Поддерживает мультикаст, т.к. PPP инкапсулируются в GRE.

IGP over PPTP

Vpdn-group,

interface Virtual-Template,

IP local pool,

username/password для авториз-и, IGP protocol (router ospf process)

service internal (для включения настроек pptp клиента),

vpdn-group, interface Dialer, dialer-list,

IGP protocol (router ospf process)

Нет

Нет

Да

Масштабируемый с ограничениями.

Поддерживает мультикаст, т.к. PPP инкапсулируются в GRE.

Морально устаревший протокол  -> альтернатива L2TP over IPSec

L2TPv3
xconnect

pseudowire-class

xconnect

pseudowire-class

xconnect

Да

xconnect

Нет

Да

Не масштабируемый.

Отлично подходит для разнесения «native» L2 vlan-а через IP сеть. Но, необходимо наличие резервного шлюза по умолчанию. Создавая xconnect на интерфейсе маршрутизатора мы должны удалить IP адрес с его интерфейса, тем самым удалив маршрут по умолчанию для всех устройств внутри этой сети.

L2TPv2/v3

aaa new-model,

username для авторизации L2TP пира,

VPDN-group,

interface Virtual-Template,

static route до сетей уд. офиса

username для авторизации L2TP HUBa,

interface virtual-ppp,

pseudowire class,

static route до сетей центр., удал. офиса

Да:

static route до внутренних сетей удаленного офиса

Да:

static route до внутренних сетей удаленного офиса

Да

Масштабируемый.

L2TPv3 дает большие преимущества, позволяя инкапсулировать не только PPP трафик, как L2TPv2, но и передавать метку VLANа и, а также инкапсулировать HDLC, Frame Relay.

IGP over L2TPv2/v3

aaa new-model,

username для авторизации L2TP пира,

VPDN-group,

interface Virtual-Template,

IGP (router ospf process)

username для авторизации L2TP HUBa,

interface virtual-ppp,

pseudowire class,

IGP (router ospf process)

Нет

Нет

Да

Очень масштабируемый. Позволяет настраивать протоколы маршрутизации «по умолчанию», связь удаленных офисов осуществляется через L2TPv2/v3 HUB (в центральном офисе).



Читать дальше →

Новый GNS3 - шаг вперед или прыжок на месте?

Одна из самых оживлённых тем на зарубежных сетевых ресурсах сейчас — это новый GNS и VIRL. В России практически самым первым и уж точно в самом подробном виде эту тему освещает Александр Sinister.
Специально для linkmeup.ru


=========================



GNS3 1.2


В начале 2000х ситуация с эмуляторами сетевого оборудования выглядела достаточно плачевно.
Но затем появился Dynamips и Dynagen (консольный фронтэнд к Dynamips), которые предоставляли возможность эмулировать некоторые маршрутизаторы Cisco IOS.
Впервые Dynamips был представлен общественности в далеком 2005м году.
Это была по сути разработка одного человека.
Проект понемногу развивался, но был заброшен в 2007м, последняя версия от первоначального автора была с номером 0.2.8-RC2.
Управление при этом было далеко от удобного: в текстовых конфигурационных файлах приходилось описывать всю топологию вручную.
А затем, в 2007м году, Джереми Гроссман (Jeremy Grossman) начал разработку GNS3, в качестве своего дипломного проекта во время учебы в университете.
Со временем GNS3 стал самым узнаваемым и популярным решением для эмуляции сетевого оборудования, в первую очередь для тех кто готовился к сдаче сертификационных экзаменов.
И вот сейчас, в 2014м году, выходит эволюционная (с точки зрения разработчиков) версия GNS3 1.0.

Но перед тем как приступить к тщательному изучению новой версии, ненадолго вернемся в прошлый год, в тот момент когда стартовала новая веха разработки GNS3.

Как всё начиналось


После того как суммарная цифра скачивания GNS3 достигла отметки в 10 миллионов, основатели GNS3 решили запустить кампанию по сбору средств на дальнейшее развитие проекта.



Более 13 000 человек приняли участие в финансировании GNS3 и в итоге было собрано 550 000$.


Читать дальше →

LinkMeUp. Выпуск № 21. Системы мониторинга и управления сетью

В 21-м выпуске подкаста поговорим о том, что нужно инженеру и менеджеру знать о сети, какие существуют инструменты для упрощения жизни, оптимизации ресурсов.
Если вам о чём-то говорят аббревиатуры NMS, OSS, BSS, SNMP, CORBA, вам будет интересно. Если не говорят, то и подавно надо послушать.
Тем более, что рассказывать будут Дмитрий Володин (автор и разработчик NOC) и Александр Ефремов (TL в Netcracker) — уж эти ребята знают толк в управлении сетью.

Скачать файл подкаста.




Добавить RSS в подкаст-плеер.

Скачать все выпуски подкаста вы можете с помощью BT Sync (код: BYENRHD5UNKD5ZDIYFSB63WG2PEY2GIUN) или с яндекс-диска.

Читать дальше →

Анонс подкаста. Выпуск 21

Продолжим хорошее начинание — 16-го ноября слушайте онлайн 21-й выпуск подкаста linkmeup.

Тема выпуска очень долгожданная — поговорим о системах мониторинга, управления, инвентаризации итд. От самых маленьких домовых сетей до больших операторов уровня страны.

Рассказывают Александр Ефремов — инженер NetCracker, и Дмитрий Володин — автор и разработчик системы NOC.
Если вам интересно, что вы можете выжать из своей сети или как это делают другие, приглашаем в данную публикацию 16-го ноября в 15:00 по МСК.

Вопросы можно задавать в комментариях к этой публикации или в нашем джаббер-чате, как предложил r1za4n24 .

Параметры для подключения:

LinkMeUp. Выпуск № 20. Xgu.ru и курсы по сетевым технологиям

Гостья 20-го выпуска — долгожданная Наташа Самойленко — автор статей на xgu.ru и инструктор на курсах по сетевым технологиям. Не без труда мы раздобыли эту легенду в нашу студию. Не стоит даже пытаться угадать, скольким людям она помогла.

Наташа расскажет об истории проекта xgu.ru и своей роли в нём. Во второй части коснёмся учебных центров и курсов по сетевым технологиям. Как стать авторизованным учебным центром Cisco, как приготовить лабу и с каким багажом знаний приходят ученики.

Не могу не упомянуть, что 20-й выпуск транслировался в прямом эфире. Всё прошло убедительно положительно. В пике было 35 слушателей, до конца подкаста дотерпели 23 человека — железные ребята — спасибо вам — это очень вдохновляло. В ходе трансляции мы получили 24 комментария и ответили почти на все вопросы. Сервер справился на ура.

В данном выпуске я дал слабину и подкаст собирал не из отдельных дорожек, а обработал запись трансляции. Как ни крути, но качество упало, оптимизируя одно, иногда приходится жертвовать чем-то другим. Мы постараемся в следующий раз улучшить звук насколько это возможно. Приносим заранее извинения.

Итак, новости 20-го выпуска:

  1. Новые рекорды Samsung: 5G и Wi-Fi.
  2. Вымпелком соединили Европу и Азию (link).
  3. MSK-IX запускает 100G (link).
  4. ФАС пытается регулировать тарифы интернет-провайдеров (link).
  5. Ростелеком строит дата-центры, срок переноса персональных данных откладывается (link).
  6. Акадо свопит Cisco на Huawei (link)
  7. ОАО «Газпром автоматизация» получило статус авторизованного партнера «Huawei Enterprise Business Group» (HEBG) (link).
  8. Коротко. Перевод часов (link).
  9. В Bash обнаружена уязвимость (link).

Хронометраж:
00:00-28:30: Новости.
28:30-52:30: История проекта xgu.ru.
00:54-02:12: Учебные центры и курсы по сетевым технологиям.

Скачать файл подкаста.




Добавить RSS в подкаст-плеер.

Скачать все выпуски подкаста вы можете с помощью BT Sync (код: BYENRHD5UNKD5ZDIYFSB63WG2PEY2GIUN) или с яндекс-диска.

Анонс подкаста онлайн

Пришло время подкасту сделать небольшой шаг вперёд. 20-й выпуск будет в тестовом режиме транслироваться в реальном времени. Впервые в истории linkmeup.

Сегодня, 19-го октября в 15:00 по московскому времени на этой же странице.

В гостях будет Наташа Самойленко — автор всемирно-известного ресурса xgu.ru Выпуск будет посвящён учебным курсам по сетевым технологиям.
Как стать тренером, кто посещает курсы, какая у учеников мотивация, каково это быть девушкой-инструктором, как собираются лабы.

Если у вас есть вопросы, вы можете задать их здесь и сейчас или во время выпуска — мы постараемся на них ответить.

UPD: Трансляция состоялась. Подкаст будет опубликован традиционно 25-го числа.

LinkMeUp. Выпуск № 19. Компания Зелакс, техподдержка и передача данных через ЛЭП

В подкасте linkmeup не раз уже затрагивалась технология PLC, с помощью которой можно организовать локальную сеть поверх имеющейся электропроводки.
В этот же раз мы поговорим о технологии передачи данных через ЛЭП. Такой вид связи используется для передачи телемеханики и организации телефонной связи между подстанциями.
Рассказывать об этом будет Павел Пасынок — начальник отдела технической поддержки Зелакс. Также мы поговорим о самой компании, производимом оборудовании и том, как работает тех.поддержка.

Новости выпуска:

  1. Новый отечественный производитель (link)
  2. Подводный кабель между юго-восточной Азией и США (link)
  3. Большой брат следит за ними (link)
  4. Количество маршрутов в BGP Full Veiw перевалило за 512 тысяч (link)

Хронометраж:
00:00-00:25: новости.
00:25-00:54: рассказ Павла о компании Зелакс.
00:54-01:22: Техподдержка Зелакс.
01:22-02:24: ВЧ-связь

Скачать файл подкаста.




Добавить RSS в подкаст-плеер.

Скачать все выпуски подкаста вы можете с помощью BT Sync (код: BYENRHD5UNKD5ZDIYFSB63WG2PEY2GIUN) или с яндекс-диска.

Список использованных терминов.
Под катом поясняющие схемы и картинки.

Читать дальше →

linkmeup теперь в твиттере

Мы долго игнорировали твиттер, долго сопротивлялись, но общественность настояла на своём.
Встречайте твиттер linkmeup: twitter.com/linkmeupru

Оказывается 140 символов хватает для анонса)

Итого, мы теперь имеем:
  • группу в вк
  • группу в фб (немного подзамерла, но скоро активизируем)
  • твиттер
  • аккаунт на rpod
  • аккаунт на podfm
  • ленту на itunes
  • RSS

По любым вопросам и с любыми предложениями пишите на info@linkmeup.ru.
  • 6
  • +1
  • 2937

Превратности балансировки

Статья опубликована nag.ru.

==================

Тема балансировки одна из самых душещипательных и одновременно зубодробильных после QoS.



Как это обычно бывает в сфере связи, всё выглядит очень просто с точки зрения настройки: пяток команд сюда, пяток — туда — и всё заработало — достаточно поверхностного понимания и придерживаться инструкций.

И как обычно, если копнуть глубже при реализации чего-то сложнее, чем сеть провайдера среднего пошиба, то со всех сторон начинают высовывать свой нос проблемы.

Читать дальше →